Lỗi DNS cho phép hack hàng triệu máy PC trên tất cả game của Blizzard

Vào ngày 22/1, nhà nghiên cứu Google Tavis Ormandy đã phát hiện ra lỗi DNS Rebinding cho phép bất kì ai giả làm máy chủ cập nhật và phát tán mã độc khi Update Agent nghĩ rằng đó là cập nhật game.

Cụ thể, theo báo cáo về lỗi này, Blizzard Update Agent có chứa máy chủ JSON RPC mà các ứng dụng khác gửi lệnh tới để tương tác với Agent. Theo Ormandy, anh có thể dùng trình duyệt và đưa mã độc JavaScript tới người dùng, tấn công máy chủ và “buộc” máy chủ cập nhật của Agent vào máy chủ nhiễm độc.

Blizzard Update Agent âm thầm được vá

Sau khi Ormandy tiết lộ lỗi này trên Twitter và nói rằng Blizzard đã vá lỗi mà không nói năng gì.

Bản cập nhật Blizzard Update Agent (bản 5996) lấy tên của ứng dụng khi gửi lệnh tới máy chủ JSON RPC, tính chuỗi hash 32-bit FNV-1a và so sánh với danh sách ứng dụng không được phép truy vấn.

Lỗ hổng từ Blizzard Update Agent
Lỗ hổng giả cập nhật game Blizzard

Trong khi Ormandy đề nghị dùng danh sách trắng thì Blizzard lại đưa ra giải pháp là danh sách đen, theo anh là phải “hoàn thiện và được duy trì” nên cách mà Blizzard áp dụng là quá đơn giản.

Có thể nhiều ứng dụng khác gặp lỗi tương tự

Ormandy có tạo trang PoC để mô phỏng tấn công DNS Rebinding bằng Blizzard Update Agent. http://lock.cmpxchg8b.com/yah4od7N.html. Ngoài ra còn có trang khác để tấn công trên các ứng dụng khác và để tìm các ứng dụng khác bị lỗi tương tự. https://lock.cmpxchg8b.com/rebinder.html

Trước đó Ormandy cũng tìm ra lỗi này trên Transmission BitTorrent.

Xem thêm:

Thứ Năm, 01/02/2018 14:51
31 👨 205